我正在尝试使用欧盟委员会赞助的数字签名服务 (DSS) 库 5.12.1 来验证数字签名 PDF 和 XML 的电子签名。
我使用的代码是
byte[] binaryPdf = Base64.getDecoder().decode(base64EncodedDocument);
CommonTrustedCertificateSource trustedCertSource = new CommonTrustedCertificateSource();
CertificateVerifier cv = new CommonCertificateVerifier();
cv.setAIASource(new DefaultAIASource());
cv.setOcspSource(new OnlineOCSPSource());
cv.setCrlSource(new OnlineCRLSource());
cv.addTrustedCertSources(trustedCertSource);
DSSDocument document = new InMemoryDocument(binaryPdf, shortFileName);
SignedDocumentValidator documentValidator = SignedDocumentValidator.fromDocument(document);
documentValidator.setCertificateVerifier(cv);
UserFriendlyIdentifierProvider userFriendlyIdentifierProvider = new UserFriendlyIdentifierProvider();
documentValidator.setTokenIdentifierProvider(userFriendlyIdentifierProvider);
Reports reports = documentValidator.validateDocument();
在 dss 文档 PDF 中指出。我的应用程序总是获得不确定指示和子指示NO_CERTIFICATE_CHAIN_FOUND(在证书链的证书元素中可见)。它找不到信任锚。当我使用示例应用程序 5.12.1 进行签名验证并尝试验证同一文档时,我得到了预期的 TOTAL_PASSED 指示。我的应用程序可以访问互联网。我做错了什么? 谢谢!
示例应用程序和您的代码之间存在差异。
示例应用程序附带预配置的受信任根列表 (EU LOTL)。
您的代码带有空的
CommonTrustedCertificateSource请参阅 DSS 常见问题解答
验证签名时,我收到 INDETERMINATE/NO_CERTIFICATE_CHAIN_FOUND 指示
结果意味着验证者在验证签名的证书链时无法到达信任锚。该问题很可能是由于您没有在使用的证书验证器中配置受信任的证书源而引起的。为此,您需要将信任锚添加到您在 DocumentValidator 中使用的 CertificateVerifier 实例:
所以你需要添加一些证书到
CommonTrustedCertificateSource